gemäß Art. 28 DSGVO
Stand: März 2026
Die Parteien schließen diesen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 Abs. 3 DSGVO, da der Auftragnehmer (MediaServiceBox GmbH) im Rahmen der Bereitstellung der PUNO-Software personenbezogene Daten im Auftrag des Auftraggebers (Kunde) verarbeitet. Der AVV ergänzt den Hauptvertrag (AGB) und geht diesem im Bereich des Datenschutzes vor.
Gegenstand der Auftragsverarbeitung ist die Bereitstellung der PUNO-Software als SaaS-Dienst. Die Verarbeitung erfolgt für die Dauer des Hauptvertrags. Art und Zweck der Verarbeitung sind in Anlage 1 beschrieben.
| Kategorie | Betroffene Personen | Datenarten | Zweck |
|---|---|---|---|
| Mitarbeiterdaten | Mitarbeiter des Kunden | Name, Stundenlohn, Arbeitszeiten, GPS-Standort | Zeiterfassung, Lohnabrechnung |
| Baudaten | Mitarbeiter, Auftraggeber | Regieberichte, Fotos, Unterschriften | Baudokumentation |
| Kundendaten | Auftraggeber des Kunden | Name, Adresse, Kontaktdaten | Angebote, Rechnungen |
Der Auftragnehmer verpflichtet sich, personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers zu verarbeiten. Der Auftragnehmer stellt sicher, dass alle mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind. Der Auftragnehmer ergreift alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, Berichtigung). Der Auftragnehmer informiert den Auftraggeber unverzüglich über Datenschutzverletzungen gemäß Art. 33 DSGVO.
Der Auftragnehmer ist berechtigt, folgende Unterauftragsverarbeiter einzusetzen. Der Auftraggeber erteilt hiermit seine allgemeine Genehmigung. Über wesentliche Änderungen wird der Auftraggeber informiert:
| Unterauftragsverarbeiter | Sitz | Zweck | Garantie |
|---|---|---|---|
| Stripe, Inc. | USA | Zahlungsabwicklung | EU-Standardvertragsklauseln |
| Amazon Web Services | EU (Frankfurt) | Dateispeicherung | Art. 46 DSGVO, SCCs |
| Datenbankhosting | EU | Datenbankbetrieb | DSGVO-konform |
TLS 1.3 für alle Übertragungen, AES-256 für Datenbankfelder
Rollenbasierte Zugriffsrechte, JWT-Authentifizierung
Tägliche automatische Backups, Nutzer-Download-Funktion
Audit-Logs für alle sicherheitsrelevanten Aktionen
Interne IDs statt Klarnamen in Logs
Redundante Infrastruktur, 99% Verfügbarkeitsziel
Nach Beendigung des Hauptvertrags löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Der Auftraggeber erhält auf Wunsch vor der Löschung eine vollständige Datenkopie (Backup-Download). Der Auftragnehmer bestätigt die Löschung auf Anfrage schriftlich.
Kontakt für AVV-Anfragen:
MediaServiceBox GmbH · [email protected]
Dieser AVV wird automatisch Bestandteil des Nutzungsvertrags. Eine gesonderte Unterzeichnung ist auf Anfrage möglich.